Alertas

Vulnerabilidad 0-day en ASP.NET

 En la conferencia de seguridad informática de Ekoparty en Argentina se dio a conocer una vulnerabilidad 0-day en ASP.NET que podría permitir la divulgación de información del usuario. Según los desarrolladores del exploit, afecta al 25% de los sitios web aunque Microsoft desconoce ataques que puedan aprovecharse de esta vulnerabilidad como explica en un documento informativo. Microsoft ha pubilicado soluciones provisionales para mitigar este fallo de seguridad.

Más información en:

http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

El dia 28 de Septiembre, debido a la importancia de esta vulnerabilidad, Microsoft ha publicado un Boletín de seguridad fuera de ciclo en el que la soluciona. La actualización se puede descargar mediante Windows Update o directamente en el boletín MS10-070

Soluciones a la vulnerabilidad de accesos directos en Windows

Hace unos días fue descubierta una vulnerabilidad crítica en la interfaz de usuario de Windows (CVE-2010-2568). Este fallo de seguridad se puede encontrar detallado en el boletín informativo de Microsoft.

Una vez fue publicada esta vulnerabilidad, se empezaron a difundir por la red todos los detalles necesarios para aprovechar este fallo de seguridad, el cual afecta a TODOS los sistemas Windows.

Al inicio, este malware fue diseñado para atacar sistemas SCADA al comprobarse que contenían código para inyectar en ciertos procesos correspondientes a estos sistemas, reportado en la vulnerabilidad CVE-2010-2772 contra sistemas SCADA Siemens WinCC. A raíz de esta vulnerabilidad también se escribió un artículo sobre sistemas SCADA que se puede consultar aquí.

Esta vulnerabilidad es causada porque el shell de Windows no valida correctamente determinados parámetros del acceso directo (archivos LNK) y está relacionada con el malware Stuxnet. A causa de esta vulnerabilidad, un usuario al introducir un dispositivo extraíble, en el que se encuentra un archivo binario especialmente diseñado para explotar esta vulnerabilidad, se ejecutará al intentar cargar el icono asociado al acceso directo, sin la necesidad de que el usuario haga clic sobre él, eludiendo todas las medidas que se hubieran podido tomar a priori para inhabilitar la ejecución automática de los dispositivos extraíbles. Esta vulnerabilidad es de gran impacto ya que un atacante podría incluso tomar el control total del sistema, además de poderse propagar fácilmente el malware mediante pendrives.

Por otra parte, el boletín también informa que estos mismos componentes malintencionados podrían ser ubicados en sitios web o en recursos compartidos, por lo que un usuario que visite una página web mediante Internet Explorer o visitar un recurso compartido también podría infectarse.

A pesar que Microsoft publicó un parche para mitigar esta vulnerabilidad, disponible aquí, todavía no existe un parche definitivo. Este parche una vez instalado, soluciona el problema pero se pierden las imágenes en los iconos de accesos directos.

La empresa Sophos por su parte, ha liberado una herramienta gratuita para bloquear automáticamente esta vulnerabilidad al conectar un dispositivo extraíble con malware, sin el efecto secundario de perder las imágenes de los accesos directos. El programa es compatible con todos los antivirus y funciona en Windows Xp/Vista/7.

La herramienta se puede descargar aquí:

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html

El 27 de Julio G Data por su parte también publicó una herramienta para solucionar esta vulnerabilidad. El software se puede descargar aquí:

http://www.gdatasoftware.co.uk/support/downloads/tools

El día 2 de Agosto, Microsoft ha publicado un parche definitivo para solucionar esta vulnerabilidad en un boletín especial fuera de plazo. A causa de la gravedad del fallo de seguridad, Microsoft no ha esperado a publicarlo junto a las actualizaciones de Agosto y se recomienda a todos los usuarios con sistemas Windows que apliquen el parche. Esta actualización se puede encontrar aquí según el sistema operativo o en Windows update:

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

 

X Jornades d'Orientació Acadèmica

Divendres vinent 6 de març, el regidor de l'Àrea d'Educació i Serveis Ciutat inaugura una Jornada sobre Criminologia, en el marc de les X Jornades d'Orientació Acadèmica.
Sessió dirigida a l'alumnat de batxillerat dels centres públics i concertats de la ciutat.

Aquesta jornada és un monogràfic al voltant dels diferents entorns professionals davant de la realitat del fenomen criminal.

Nous estudis universitaris, noves especialitats , noves maneres d'intervenir en la seguretat ciutadana.

Per aquest motiu varem veure necessari donar a conèixer els nostres joves les sortides professionals que aquest camp ofereix, a través dels professors universitaris que imparteixen els estudis ( UPC, UAB i UPF ) així com dels professionals que hi treballen, concretament la Policia Científica dels Mossos d'Esquadra.

Tots ells ens acompanyaran tot el mati i ens oferiran els coneixements necessaris perquè els joves alumnes es plantegin el seu futur acadèmic i professional.

Per a més informació.
Servei Local Escola Treball
934832936
Assumpta Ayza
Ariadna Sureda

Elena Galván d'esCERT-UPC participarà com a ponent a les jornades per a donar a conèixer els estudis d'Informàtica Forense.

Conficker/Downadup: Infección masiva en Windows

En estos últimos días se está detectando una infección masiva de ordenadores producida por el gusano Downadup, también conocido como Conficker. Downadup es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC MS08-067, que permite la ejecución de códigos arbitrarios en forma remota. Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003. El impacto del gusano todavía es desconocido ya que su único fin por el momento es el de propagarse de forma rápida.
El equipo de investigación de esCERT-UPC ha realizado un estudio entorno a la propagación de este malware: 250 dominios predecibles a los que cada máquina infectada intenta acceder, 8.976.038 equipos infectados, ...
Puedes encontrar el artículo aquí.

Resumen ALTAIR 2008

El servicio de avisos de vulnerabilidades Altair emitió durante el pasado año 2008 un total de 2040 avisos.

De todos ellos, aproximadamente el 49% de estos avisos informan de todo tipo de vulnerabilidades utilizadas para penetrar en el sistema mediante todo tipo de métodos, como por ejemplo un desbordamiento de búfer. El segundo volumen de vulnerabilidades a destacar con un 22% del total de vulnerabilidades son las denegaciones de servicio, las cuales mediante el consumo excesivo o la sobrecarga de recursos pueden causar la caída de un servicio. El 12% del total comprometen la integridad de los datos del sistema como podría ser una base de datos o una página web mediante ataques de cross-site scripting u otro tipo de ataques relacionados con una validación de entrada insuficiente. El resto de vulnerabilidades se dividen respectivamente en el 8% para ataques contra la confidencialidad, el 6% para el aumento de privilegios, el 3% para el compromiso de los privilegios de root y el 1% para el aumento de visibilidad de los recursos del sistema ajeno.

Ante estas cifras, y siendo consciente que cada día surgen nuevos productos vulnerables, se recuerda la importancia que tiene mantener actualizados los sistemas y todo el software que con ello comporta para evitar incidentes que puedan poner en peligro la seguridad del sistema en su totalidad. Como todos sabemos, toda cadena de seguridad se rige por el eslabón más débil; con ello se quiere decir que con una pequeña brecha de seguridad se pueden llegar a causar verdaderos estragos en todo el sistema.

Sin embargo no siempre los números son importantes y más aún cuando hablamos de vulnerabilidades: lo destacable de este último año no ha sido el gran número de vulnerabilidades que han surgido, sino el alto nivel de criticidad que han llegado a ocasionar algunas. Empezaremos por la vulnerabilidad en OpenSSL ocasionada en sistemas Debian (CVE-2008-0166) en la que un error en el generador de números aleatorios permitía la predicción de claves por lo que mediante ataques por fuerza bruta podríamos obtener las claves criptográficas en cualquier comunicación cifrada; en resumen, toda la confidencialidad que ofrecían las comunicaciones SSL se encontraba comprometida. Seguiremos con la vulnerabilidad encontrada en BIND (CVE-2007-2926) que mediante una debilidad en el generador de identificadores aleatorios permitía realizar un envenenamiento de la caché DNS en los sistemas, lo cual se podía redirigir el tráfico de internet de la víctima hacia cualquier parte. Para acabar nombraremos otra vulnerabilidad que actualmente está ocasionando verdaderos estragos en sistemas Windows (CVE-2008-4250). Consiste en una vulnerabilidad en el Server Service de servidores Windows que permite a los atacantes ejecutar código arbitrario provocando un desbordamiento de búfer a través de una petición RPC; la criticidad de ésta se debe a los muchos exploits que han sido publicados en internet así como al gusano Downadup que utiliza dicha vulnerabilidad para propagarse e infectar los sistemas. Quizá no se pueda siempre tener 100% actualizado el sistema con todos los parches de seguridad para todas las vulnerabilidades posibles, sin embargo, como ya hemos podido comprobar este año, cada vez aparecen más vulnerabilidades importantes cuyo impacto es crítico y que no debemos pasar por alto, por lo que deben de ser solucionadas de la forma más inmediata y eficiente posible.

Altair es un servicio que recoge estos avisos de seguridad e informa diariamente sobre la aparición de nuevas vulnerabilidades, indicando su impacto y las medidas o actualizaciones para solucionarlas. Le recordamos además que esCERT pone a su disposición la posibilidad de disfrutar gratuitamente del servicio quincenal de ALTAIR, para ello únicamente debe enviar un correo a altair@escert.upc.edu indicando su deseo de recibir los boletines de seguridad.

Aigua: font de vida, font de risc

Un año más se ha publicado el Informe de l'Observatori del Risc, que realiza el Institut d'Estudis de la Seguretat.

En el año 2008, Manel Medina, director de esCERT-UPC, ha participado en la realización del informe, aportando su visión dentro del Riesgo de la Información en Red.

Más información.

http://www.seguretat.org/

Seguridad en Gmail

Gmail se está conviertiendo en uno de los servicios de correo gratuitos más importantes. Pero sorprende que se trate de un servicio aún en fase Beta. Será por las vulnerabilidades que llegan a publicarse?

Actualmente está presente una vulnerabilidad en los filtros que permiten incorporarse.

Accede al artículo aquí

¿Accesos imposibles?

El 10 de Septiembre de 2008 un grupo de hackers griegos que se denominan a sí mismos "2600" o "Greek Security Team" consiguió infiltrarse en un ordenador de la Red del CERN (Organización Europea para la Investigación Nuclear) el mismo día en que se ponía en funcionamiento el Gran Colisionador de Hadrones (LHC). El LHC es el acelerador de partículas más grande y energético del mundo que podrá llegar a ser capaz de producir todo tipo de partículas todavía desconocidas, entre ellas un miniagujero negro, un simple agujero negro pequeño en el que los efectos de la mecánica cuántica juegan un importante rol. La creación de tal acelerador de partículas tuvo un gran revuelo en los medios, llegando a insinuar que la tierra podía llegar incluso a ser succionada por un agujero negro con lo que llegaría el fin del mundo que todos conocemos.

Los hackers marcaron como objetivo un equipo llamado "Compact Muon Solenoid Experiment" o CMS, un equipo de alrededor 2,000 científicos responsables de descubrir el impacto del Big Bang. Aprovecharon el estreno de la puesta en marcha del acelerador y la publicidad que ello comporta para penetrar en el sistema únicamente para comprobar que el CMS era vulnerable y hasta qué nivel de profundidad lo era; se dice que irrumpieron en el experimento dejando un mensaje que decía "We are 2600...don't mess with us...". Describieron a los técnicos responsables de la seguridad de la red como schoolkids (literalmente "niñatos"). El "Greek Security Team" aseguraba que no quería frenar de ninguna manera la actividad y el trabajo de los científicos, cosa que no fue así ya que se llevaron un buen susto.

Según Roger Highfield, del diario Telegraph, estuvieron cerca de poder entrar en los sistemas de control del LHC, si hubieran entrado en una segunda red informática en la que podría haber apagado las partes del gran detector. Afortunadamente, sólo hubo un archivo dañado y realizaron un "defacement", una práctica anteriormente de moda que consistía en substituir la página oficial de algún sitio web con el objetivo de demostrar que éste ha sido comprometido. La página víctima se encontraba en: http://cmsmon.cern.ch/zrwan/apanthsh.html.

A continuación puede verse una imagen que muestra como quedó la página justo después del ataque: http://eluniversoinvisible.files.wordpress.com/2008/09/scicern212_big.gif.

Según opinión de los expertos, los hackers podrían haber plantado código malicioso que podría haber robado identidades, o bien instalar malware en los ordenadores aprovechando los millones de visitantes que entraron vía web justamente ese día. Por el momento, no se ha confirmado dicha actividad. Eso sí, el servidor web sigue todavía sin acceso público.

Esto es un hecho que nos da mucho que pensar, ¿qué hubiese ocurrido si los hackers hubiesen llegado a entrar en la segunda red y así obtener el control del LHC? Si ya en manos de científicos hubo tanta polémica a la hora de poner en marcha tal monstruosidad de 12.500 toneladas y 21x15 metros, ¿qué pensaría si el control de un imán de tales dimensiones cayera en malas manos? En este caso en concreto ninguno de los experimentos se vieron afectados por la brecha de seguridad, pero en un lugar donde existen más de 110 sistemas de control que van desde el ajuste de la calefacción del edificio hasta la protección de radiaciones en el acelerador, dicha idea le pone a uno la piel de gallina. Los hechos recientes dan a pensar que los fallos de seguridad están siendo un problema muy serio en nuestra sociedad, sobretodo en sitios como el CERN.

En el video a continuación puede verse una noticia acerca la intrusión:
http://www.youtube.com/...OEgsToPDskKnJpLQ-99clR2rn7GjI5q4...
.

Álex Soler Álvarez

Ponencia en ENISE 2008

Manel Medina, director de esCERT-UPC ha participado en el II Encuentro Nacional de la Industria de la Seguridad en España, que tiene lugar en León del 22 al 24 de octubre de 2008.
Ha participado en el Taller "Gestión de identidad en la banca on-line", con su ponencia Identificación de usuarios: de lo real a lo virtual, y viceversa...

Más información

https://2enise.inteco.es/

Mantenimiento de la red de comunicaciones de esCERT-UPC

El próximo 22 de septiembre se realizarán operaciones de manenimiento en las instalaciones de esCERT-UPC de 7.00h a 14.00h. Los diferentes servicios que se ofrecen se verán afectados: correo y web.

ALTAIR, el servicio de avisos de vulnerabilidades, no se verá afectado.

Disculpad las moléstias que os pueda ocasionar.